電信領域數據安全標準體系現狀與思考

數據安全問題涉及公眾利益、社會穩定與國家安全，亟需規范安全管理，加強安全防護。而數據安全標準是開展數據安全管理、規范行業數據安全要求、指導企業提升數據安全能力的重要抓手。本文分析了國內外數據安全標準研制背景，梳理了國家、電信和互聯網行業以及基礎電信企業數據安全標準現狀，并對數據安全標準體系完善工作提出思考與建議。

一、國內外標準化組織加快數據安全標準布局

當今世界已進入數據時代，全球數據呈現爆發增長，數據資源已成為國家基礎戰略性資源和社會生產的創新要素。隨著數字經濟蓬勃發展，新技術與新應用的落地使得數據價值前所未有地釋放，與此同時，數據安全問題日益突出，成為全球治理的重要議題。在此背景下，世界各國紛紛采取行動，從戰略規劃、政策制定、標準執行等多個維度入手，形成了各具特色的治理理念和治理方案。歐盟致力于塑造“更加安全的數字未來”，美國致力于維護其在數字領域的世界領導地位，我國致力于推進網絡強國建設。

(一）國際數據安全標準制修訂動態

國際標準化組織積極構建數據安全標準體系，加緊布局數據安全標準研制工作。目前主要的國際數據安全標準化組織包括 ITU-T、ISO/IEC、NIST 等。ITU-T 國際電聯 SG17 安全標準工作組主要負責研制電信和互聯網領域數據安全和個人信息保護標準，已發布相關標準和研究項目近 20 項。ISO/IEC JTC1/SC27 WG4 安全控制和服務工作組研制的標準涉及大數據安全和隱私保護的參考架構、過程、實施指南等；SC27 的 WG5身份管理和隱私保護技術工作組，主要開展隱私保護標準研制。ISO/IEC 第 1 聯合技術委員會 (ISO/IEC JTC1) 與大數據安全、個人信息保護相關的標準和研究項目達 20 多項。美國 NIST SP800 提出了大數據安全基礎架構，同時 NIST 標準還涉及系列受控非保密信息、個人可識別信息等主題的數據安全和隱私保護標準。

(二）國內數據安全標準制修訂動態

“安全發展，標準先行”，標準化工作是保障數據安全的重要基礎，我國也大力布局數據安全、個人信息安全保護等政策和標準。《中華人民共和國數據安全法》第十七條明確提出國家推進數據安全開發利用技術和數據安全標準體系建設，國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。2016 年，全國信安標委（TC260）成立大數據安全標準特別工作組（SWG-BDS），主要圍繞數據安全和個人信息保護兩個方向研制相關標準，先后發布了《信息安全技術 大數據服務安全能力要求》《信息安全技術 數據安全能力成熟度模型》《信息安全技術 政務信息共享 數據安全技術要求》《信息安全技術 個人信息安全規范》等重要標準，《信息安全技術 電信領域數據安全指南》已獲報批。目前，數據安全國家標準體系包括了基礎共性、安全技術、安全管理、安全測評和典型應用五大類，共包含 50 多項標準，其中已發布 10 余項，在研近 20 項，待制定 20 余項。

二、電信和互聯網行業數據安全標準化工作成效顯著

(一）電信和互聯網行業數據安全標準初成體系

當前我國電信和互聯網行業高速發展，在服務數字經濟快速發展的同時，匯聚大量數據，面臨嚴峻的數據安全風險。為堅持安全和發展并重的原則，積極應對復雜嚴峻的安全風險與挑戰，加速構建數據安全保障體系，2019 年，在中國通信標準化協會網絡與信息安全技術工作委員會（CCSA TC8）下成立數據安全標準特設組 TF1，開展數據安全標準化相關工作。針對標準體系性不強、部分關鍵標準進度緩慢、重點領域標準缺失等問題，2020 年 12 月工信部印發了《電信和互聯網行業數據安全標準體系建設指南》，旨在發揮標準對電信和互聯網行業數據安全的規范和保障作用，加快制造強國和網絡強國建設步伐，要求相關企業結合本行業（領域）、本地區實際，在標準化工作中貫徹執行。

電信和互聯網行業數據安全標準體系包括基礎共性、關鍵技術、安全管理和重點領域等標準。其中，基礎共性標準包括術語定義、數據安全框架、數據分類分級等標準，為各類標準提供基礎支撐；關鍵技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期維度，對數據安全關鍵技術進行規范；安全管理標準包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等；重點領域標準主要是結合相關領域的實際情況和具體要求，指導行業有效開展重點領域數據安全保護工作。電信和互聯網行業數據安全標準體系框架如圖所示。

圖 電信和互聯網行業數據安全標準體系框架圖

電信和互聯網行業數據安全標準體系框架中特別提到了重點領域標準，是在基礎共性標準、關鍵技術標準、安全管理標準的基礎上，結合新一代信息通信技術發展情況，主要在 5G、移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能、區塊鏈等重點領域進行布局，并結合行業發展情況，逐步覆蓋其他重點領域。結合重點領域自身發展情況和數據安全保護需求，制定相關數據安全標準。

《電信和互聯網行業數據安全標準體系建設指南》，為行業數據安全標準化工作提供了指導與依據，可以有的放矢地開展標準化工作，并且已經取得了初步的成效。

(二）電信和互聯網行業數據安全標準研制與實踐并行

總體來說，電信和互聯網行業數據安全標準化工作以《電信和互聯網行業數據安全標準體系建設指南》為指導，截至 2022 年 2 月，數據安全標準特設組研制數據安全行業標準 60 項以上，初步建立電信和互聯網行業數據安全標準體系，有效落實數據安全管理要求，基本滿足行業數據安全保護需要，標準在重點領域中的應用在不斷推進中。

1. 標準研制

基礎共性標準方面，按照“急用先行”“從易入難”的原則，從基礎電信業務著手，同時選取重點互聯網業務，研制數據分類分級方法標準和重要數據識別標準，逐步形成“1+N”的數據分類分級系列標準。其中《基礎電信企業重要數據識別指南》和《基礎電信企業數據分類分級方法》兩項標準已發布，物聯網、云服務、即時通信、工業互聯網等業務領域的分類分級標準正在研制中。

安全管理標準從數據安全框架的管理視角出發，指導行業落實法律法規以及行業主管部門的管理要求，截至目前已發布《電信網和互聯網數據安全風險評估實施方法》和《電信網和互聯網數據安全通用要求》，其他標準正在研制階段。

數據安全關鍵技術系列行業標準涵蓋數據分類分級、數據脫敏、數據庫審計、數據異常行為識別、接口安全、數字水印、數據銷毀、數據安全管控平臺等技術要求和測試方法標準。通過研制不同技術手段相關標準，指導企業針對不同安全級別的數據，采用差異化的技術手段進行保護。

在 5G、移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能、區塊鏈等重點領域的數據安全標準研制工作也快速推進。由于重點領域技術飛速發展、應用場景不斷拓展，因此需要加快標準研制。

2. 貫標

工信部結合《電信和互聯網行業數據安全標準體系建設指南》有關要求，2021 年 6 月開始組織基礎電信企業開展行業數據安全貫標工作，針對《基礎電信企業數據分類分級方法》《基礎電信企業重要數據識別指南》《電信和互聯網數據安全評估規范》三個規范進行貫標。經過為期數月的督導落實，于 2021 年 12 月遴選了貫標優秀案例并公示，以鼓勵基礎電信企業持續加強標準落地工作。后續應以貫標工作為抓手和切入點，用“嚴標準”建立數據安全管理制度，用“高標準”建設數據安全保護技術能力，全面提升數據安全管理水平。

三、基礎電信企業加快企業標準研制

(一）步構建數據安全標準體系

為深入落實國家法律法規要求，滿足行業數據安全標準體系建設需求，以保障基礎電信企業數據安全為主線，基礎電信企業近幾年加大了標準研制力度，初步構建了數據安全標準體系，同時正持續推動標準的制定、實施和規范化。當前建立的基礎電信企業標準化體系涵蓋了管理、技術、重點領域和平臺產品四個方面的內容。

管理制度標準從數據安全框架的管理視角出發，指導企業落實法律法規以及行業主管部門的管理要求，包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等。

技術指南類標準主要從采集、傳輸、存儲、處理、交互等數據全生命周期出發，針對數據識別、數據標記、數據脫敏、數據加密、數據防篡改、數據庫監測、隱私計算、數字水印等技術制定指導性標準，為數據安全運營提供有力支撐。

在管理制度、技術指南的基礎上，結合新一代信息通信技術發展情況，在 5G、大數據、云計算、移動互聯網、工業互聯網、物聯網、人工智能、區塊鏈等重點領域進行布局，結合重點領域發展情況和數據安全保護需求，制定相關數據安全標準。

平臺產品類標準從技術治網、技術管網的角度全方位提升企業安全服務能力，通過加強企業技術能力從而承擔好社會責任與履行好社會義務，為用戶提供安全、可靠、可信的技術服務，提升用戶體驗，進而助力業務發展。

(二）加速數據安全標準研制工作

在經濟全球化的背景下，企業標準的作用已不只是企業組織生產的依據，更是企業開創市場繼而占領市場的“排頭兵”。目前，數據安全國家標準和行業標準已經初成體系，對數字經濟高質量發展起到支撐和推動作用。為保障數據安全相關工作有序開展，企業也制定了一系列的數據安全企業標準。以基礎電信企業數據安全標準體系建設和標準研制現狀為例，在管理標準方面，基礎電信企業在數據安全總體制度、數據分類分級、數據安全評估、應急響應與災難備份等方面已經開展相關研制工作，但在監測預警與處置和數據安全能力認證方面的標準研究還有所欠缺；在技術標準方面，主要涉及應急響應、數據脫敏等；在數據安全產品類標準方面，研究進度相對緩慢，例如缺少 API 安全管控、數據水印溯源、數據銷毀等方面的產品檢測標準，在重點領域和產品方面標準研制工作還有所欠缺。

以某運營商為例，其制定的數據安全企業標準規范包含管理與技術兩類。其中管理類標準規范包括《大數據安全保障體系框架》《大數據安全管理要求》《大數據安全運營要求》《大數據安全風險防控工作指引》《大數據安全保障總體策略》等；技術類標準規范包括《數據安全事件應急響應實施指南》《大數據安全防護通用技術規范》《大數據平臺安全基線要求》《大數據安全防護技術實施指南》《大數據安全脫敏實施指南》《大數據安全技術合規評測方法》等。

四、數據安全標準體系思考與建議

為發揮標準對基礎電信企業數據安全的規范和保障作用，加快制造強國和網絡強國建設步伐，需立足行業現狀，推動數據安全標準化工作，積極應對數據安全風險和挑戰。

一是根據國家政策及技術迭代滾動優化數據安全標準體系架構。隨著法律法規的不斷健全、管理制度的不斷完善、關鍵技術的不斷演進，需要定期調整數據安全標準體系架構、拓展標準面，以滿足產業及監管需求。

二是優化標準管理流程、提升標準的時效性。對于標準制定優先級，針對需要緊急制定的標準，建立綠色通道機制，優化標準制定流程，體現為監管服務的時效性。強化標準制定、標準研究以及專項指引等各層次標準的梯度推進，對于緊迫性較強的業務，行業標準與企業標準制定可以參考借鑒國家標準的做法，制定指引以應對緊急需求。

三是做好標準貫標落地，強化優秀案例推廣。數據安全標準貫標工作可以督促指導基礎電信企業貫徹落實數據安全法律法規，加強數據安全管理工作。在貫標的同時，梳理典型做法，遴選優秀案例，持續優化標準應用，提升數據安全能力。

四是做好國家標準、行業標準與企業標準聯動。國家標準對行業標準和企業標準起到指引作用，行業標準是對國家標準的補充，起到規范行業數據安全工作的作用。企業標準應與國標行標銜接，強化標準落地性，可加強三方面工作。第一完善企業數據安全標準體系；第二是強化數據安全評估類標準編制；第三是推進 5G、工業互聯網、人工智能、云計算等垂直領域的數據安全標準編制。

五是加強標準的實驗驗證和符合性測試。建立標準試驗驗證和符合性檢測平臺，重點開展數據開放共享、產品評價、數據能力成熟度、數據質量、數據安全等關鍵標準的試驗驗證和符合性檢測。

五、總結

數據安全標準對促進數據應用規范化、提升數據活動安全性有著重要意義。在數據安全標準化工作中，監管部門、行業、企業等應發揮各自職能，監管部門給予充分指導、行業持續完善體系、企業參與標準制定并踐行，通過多方協作，進一步完善標準體系。推動數據安全標準在數據安全監管政策落地、規范數據安全管理、指導數據安全技術、指引數據安全產品設計等方面發揮重要作用。